行业新闻与博客

一组 IBM 黑客发现了数百万个物联网（IoT）设备中使用的组件中的漏洞。 

IBM 的 X-Force Red 团队发现了 Thales（以前是金雅拓）的 Cinterion EHS8 M2M 模块中的缺陷。 

经过进一步测试，Thales 确认新发现的漏洞还影响了 EHS8 同一产品线中的其他 9 个模块，包括 BGS5，EHS5 / 6/8，PDS5 / 6/8，ELS61，ELS81 和 PLS62。

被发现存在弱点的模块是微型电路板，可在 IoT 设备中实现移动通信。这些模块运行并存储 Java 代码，这些代码通常包含敏感数据，例如加密密钥和密码。 

如果恶意行为者设法从模块中窃取了此类信息，则他们有可能获得对设备的控制权或获得对中央控制网络的访问权以进行广泛的攻击。

泰雷兹是组件的领先制造商之一，这些组件使智能设备能够连接到 Internet，验证身份并安全地存储信息。该公司庞大的产品组合每年连接超过 30 亿台设备，从汽车到医疗监控设备。

X-Force Red 的发言人解释了这种攻击如何在医疗设备上发挥作用时说：“网络罪犯可以操纵监视设备上的读数，以掩盖生命体征或造成错误的恐慌。在基于输入进行治疗的设备中例如起搏器或胰岛素泵，它们也可能使患者服药过量或服药不足。”

如果攻击者使用该漏洞瞄准智能电表等能源和公用事业设备，后果可能同样可怕。

发言人说：“攻击者可能会入侵智能电表，以提供伪造的读数，从而增加或减少每月的账单。通过控制网络访问大量此类设备，恶意行为者也可能会关闭整个城市的电表，从而导致范围扩大。停电，需要亲自亲自进行维修访问，甚至更糟的是损坏电网本身。” 

该漏洞由 X-Force Red 在 2019年9月发现，并在团队于今天早些时候的虚拟 Red Con 2020 活动中进行了讨论。 

2020年2月，Thales 向客户发布了补丁 CVE-2020-15858。 

本文由机器译制